Qu'est-ce que le chiffrement et pourquoi est-il important pour la conformité ?

Le chiffrement convertit des données en clair en un texte chiffre illisible a l'aide d'algorithmes mathematiques et de cles cryptographiques. Il est essentiel pour la conformité car pratiquement tous les référentiels de sécurité — ISO 27001, SOC 2, NIS2, DORA et RGPD — exigent le chiffrement comme contrôle fondamental pour protéger les données sensibles au repos et en transit.

Quelle est la difference entre le chiffrement symetrique et asymetrique ?

Le chiffrement symetrique utilise la meme cle pour le chiffrement et le dechiffrement (par exemple AES-256), ce qui le rend rapide et adapte aux grands volumes de données. Le chiffrement asymetrique utilise une paire de cles publique-privee (par exemple RSA, ECC), ideal pour l'echange de cles, les signatures numeriques et l'etablissement de canaux securises. La plupart des systemes combinent les deux : asymetrique pour l'echange de cles, symetrique pour le chiffrement des données.

Quelle norme de chiffrement devons-nous utiliser ?

Pour le chiffrement symetrique, AES-256 est la référence acceptee par tous les référentiels de conformité. Pour le chiffrement asymetrique, RSA-2048 ou ECC P-256 sont les minimums recommandes. Pour le hachage, SHA-256 ou SHA-3 sont les bonnes pratiques actuelles. Evitez les algorithmes obsoletes comme DES, 3DES, MD5 et SHA-1.

Quelle est la difference entre le chiffrement au repos et en transit ?

Le chiffrement au repos protege les données stockees — bases de données, systemes de fichiers, sauvegardes et archives — a l'aide de mecanismes comme le chiffrement integral du disque AES-256 ou le chiffrement transparent des données (TDE). Le chiffrement en transit protege les données circulant entre les systemes via TLS 1.2 ou 1.3 pour le trafic réseau. Les deux sont exiges par la plupart des référentiels de conformité.

Qu'est-ce que la gestion des cles et pourquoi est-elle critique ?

La gestion des cles couvre l'ensemble du cycle de vie des cles cryptographiques : generation, distribution, stockage, rotation et destruction. Une mauvaise gestion des cles compromet meme le chiffrement le plus robuste. Les cles doivent etre stockees dans des modules de sécurité materiels (HSM) ou des services de gestion de cles dedies, jamais a cote des données qu'elles protegent.

Le RGPD exige-t-il le chiffrement ?

L'article 32 du RGPD mentionne le chiffrement comme une mesure technique appropriee pour protéger les données personnelles. Bien que non strictement obligatoire dans tous les cas, le chiffrement constitue la meilleure defense en cas de violation de données — l'article 34 dispense les organisations de notifier les personnes concernees si les données violees etaient chiffrees avec des cles restees securisees.

Qu'est-ce que le chiffrement de bout en bout (E2EE) ?

Le chiffrement de bout en bout garantit que seules les parties communicantes peuvent lire les données. Meme le fournisseur de services hebergeant la communication ne peut pas les dechiffrer. L'E2EE est utilise dans les applications de messagerie, le partage de fichiers securise et les architectures a connaissance nulle. Il offre la garantie de confidentialité la plus forte mais complique le traitement et la recherche cote serveur.

A quelle frequence les cles de chiffrement doivent-elles etre renouvelees ?

La frequence de rotation des cles depend du type de cle et des exigences réglementaires. La bonne pratique consiste a renouveler les cles de chiffrement symetriques annuellement, les certificats TLS tous les 90 jours (selon les directives du CA/Browser Forum), et immediatement apres toute suspicion de compromission. La rotation automatisee des cles via un KMS réduit le risque opérationnel.

Chiffrement : le guide complet pour les équipes conformité et sécurité

Published 8 mars 2026

By Emre Salmanoglu

Chiffrement : le guide complet pour les équipes conformité et sécurité

Decouvrez comment le chiffrement protege les données au repos, en transit et en cours d'utilisation. Couvre AES, RSA, TLS, la gestion des cles et les exigences de conformité ISO 27001, SOC 2, NIS2, DORA et RGPD.

chiffrement

protection des données

cryptographie

gestion des cles

conformité

Qu'est-ce que le chiffrement ?

Le chiffrement est le processus de conversion de données lisibles (texte en clair) en un format illisible (texte chiffre) a l'aide d'un algorithme mathematique et d'une cle cryptographique. Seules les parties autorisees disposant de la cle de dechiffrement correcte peuvent inverser le processus et acceder aux données originales.

Pour les équipes conformité et sécurité, le chiffrement n'est pas optionnel — c'est un contrôle fondamental exige par pratiquement tous les référentiels de sécurité et reglementations majeurs.

Types de chiffrement

Symetrique vs Asymetrique

Propriete	Chiffrement symetrique	Chiffrement asymetrique
Cles	Cle partagee unique	Paire de cles publique-privee
Vitesse	Rapide — adapte aux grands volumes	Plus lent — utilise pour l'echange de cles et les signatures
Algorithmes courants	AES-128, AES-256, ChaCha20	RSA-2048, RSA-4096, ECC P-256, Ed25519
Cas d'usage	Chiffrement de bases de données, de disques, de fichiers	Handshake TLS, signatures numeriques, e-mail PGP
Defi de distribution	La cle doit etre partagee de manière securisee	La cle publique peut etre librement distribuee
Norme de conformité	AES-256 accepte universellement	RSA-2048 minimum pour la plupart des référentiels

Chiffrement hybride

Les systemes modernes utilisent le chiffrement hybride — le chiffrement asymetrique pour echanger une cle symetrique de manière securisee, puis le chiffrement symetrique pour les données elles-memes. TLS (HTTPS) en est l'exemple le plus courant : le handshake TLS utilise RSA ou ECC pour convenir d'une cle de session AES.

Etats du chiffrement

Etat	Ce qu'il protege	Mecanismes courants	Exigence de conformité
Au repos	Données stockees — bases de données, fichiers, sauvegardes	AES-256, LUKS, BitLocker, TDE, KMS cloud	ISO 27001 A.8.24, SOC 2 CC6.1, RGPD Art. 32
En transit	Données circulant entre les systemes	TLS 1.2/1.3, IPsec, SSH, SFTP	ISO 27001 A.8.24, SOC 2 CC6.7, NIS2 Art. 21
En cours d'utilisation	Données en cours de traitement en memoire	Informatique confidentielle, Intel SGX, AMD SEV, chiffrement homomorphe	Emergent — pas encore largement impose

Chiffrement au repos

Le chiffrement au repos protege les données stockees sur disque, dans des bases de données ou dans le stockage cloud. Approches principales :

Approche	Description	Ideal pour
Chiffrement integral du disque (FDE)	Chiffre l'integralite du volume de stockage	Ordinateurs portables, postes de travail, peripheriques portables
Chiffrement au niveau des fichiers	Chiffre des fichiers ou repertoires individuels	Protection selective de fichiers sensibles
Chiffrement de base de données (TDE)	Chiffrement transparent des données au niveau du moteur de base de données	Données structurees dans des bases SQL/NoSQL
Chiffrement gere par le cloud	Le fournisseur cloud chiffre automatiquement le stockage (AWS S3, Azure Blob)	Charges de travail cloud-natives
Chiffrement au niveau applicatif	L'application chiffre les données avant l'ecriture en stockage	Contrôle maximal, protection au niveau des champs

Chiffrement en transit

Protocole	Version	Statut	Notes
TLS	1.3	Recommande	Le plus rapide, le plus securise, moins d'allers-retours
TLS	1.2	Acceptable	Encore largement utilise, configurez des suites de chiffrement robustes
TLS	1.0, 1.1	Obsolete	Doit etre desactive — vulnerabilites connues
SSL	Toutes	Desuet	Ne jamais utiliser — critiquement non securise
IPsec	IKEv2	Recommande	VPN et chiffrement au niveau réseau
SSH	v2	Requis	Administration distante et transfert de fichiers

Algorithmes cryptographiques : que choisir et qu'eviter

Catégorie	Recommande	A eviter
Symetrique	AES-256-GCM, ChaCha20-Poly1305	DES, 3DES, RC4, Blowfish
Asymetrique	RSA-2048+, ECC P-256+, Ed25519	RSA-1024, DSA
Hachage	SHA-256, SHA-3, BLAKE2	MD5, SHA-1
Derivation de cles	Argon2, bcrypt, scrypt	PBKDF2 avec peu d'iterations, hachage simple
MAC	HMAC-SHA256, Poly1305	HMAC-MD5

Critères de selection des algorithmes

Acceptation réglementaire — AES-256 et RSA-2048 sont acceptes par tous les référentiels majeurs
Exigences de performance — AES-GCM pour les charges serveur, ChaCha20 pour le mobile/IoT
Preparation post-quantique — Suivre les normes PQC du NIST (CRYSTALS-Kyber, CRYSTALS-Dilithium)
Longueur de cle — Minimum 128 bits symetrique, 2048 bits RSA, 256 bits ECC

Gestion des cles

Le chiffrement n'est aussi solide que votre gestion des cles. Une base de données parfaitement chiffree est inutile si les cles sont stockees en clair a cote.

Cycle de vie des cles

Phase	Bonne pratique	Erreur courante
Generation	Utiliser des generateurs de nombres aleatoires cryptographiquement securises (CSPRNG)	Utiliser des graines previsibles ou des generateurs faibles
Stockage	Stocker dans un HSM, un KMS cloud ou un coffre-fort dedie (HashiCorp Vault)	Stocker les cles dans le code source, les fichiers de configuration ou les variables d'environnement
Distribution	Utiliser des protocoles d'echange securises (TLS, Diffie-Hellman)	Envoyer les cles par e-mail ou messagerie instantanee
Rotation	Automatiser la rotation selon un calendrier et apres les incidents	Ne jamais renouveler les cles
Revocation	Revoquer immediatement les cles compromises	Revocation tardive apres une violation
Destruction	Effacement cryptographique — detruire toutes les copies de manière securisee	Laisser les anciennes cles accessibles

Services de gestion de cles

Service	Type	Ideal pour
AWS KMS	Gere dans le cloud	Charges de travail AWS-natives
Azure Key Vault	Gere dans le cloud	Charges de travail Azure-natives
Google Cloud KMS	Gere dans le cloud	Charges de travail GCP-natives
HashiCorp Vault	Auto-heberge / SaaS	Multi-cloud, gestion des secrets
Module de sécurité materiel (HSM)	Materiel	Plus haut niveau d'assurance, exigences réglementaires

Exigences de conformité

Correspondance avec les référentiels

Exigence	ISO 27001	SOC 2	RGPD	NIS2	DORA
Chiffrement au repos	A.8.24	CC6.1	Art. 32	Art. 21(2)(d)	Art. 9(2)
Chiffrement en transit	A.8.24	CC6.7	Art. 32	Art. 21(2)(d)	Art. 9(2)
Gestion des cles	A.8.24	CC6.1	Art. 32	Art. 21(2)(d)	Art. 9(2)
Politique cryptographique	A.8.24	CC6.1	—	Art. 21(2)(h)	Art. 9(4)(c)
Normes algorithmiques	A.8.24	CC6.1	Considerant 83	Art. 21(2)(h)	Art. 9(4)(c)
Réponse aux incidents de compromission de cles	A.5.26	CC7.3	Art. 33-34	Art. 23	Art. 19

RGPD et chiffrement

Le RGPD offre une forte incitation a chiffrer les données personnelles :

Article 32 — Mentionne le chiffrement comme mesure technique appropriee
Exemption de l'article 34 — Si les données violees etaient chiffrees et que les cles restent securisees, vous pouvez ne pas avoir a notifier les personnes concernees
Pseudonymisation — Le chiffrement soutient les exigences de pseudonymisation du RGPD

Preuves d'audit pour le chiffrement

Type de preuve	Description	Referentiel
Document de politique de chiffrement	Politique approuvee couvrant les algorithmes, longueurs de cles et la gestion	ISO 27001, SOC 2
Procedures de gestion des cles	Cycle de vie documente pour la generation, la rotation et la destruction	Tous les référentiels
Analyses de configuration TLS	Resultats d'analyses SSL Labs ou similaires montrant TLS 1.2+	SOC 2, NIS2
Preuve de chiffrement au repos	Captures d'ecran de console cloud ou exports de configuration	Tous les référentiels
Journaux de rotation des cles	Enregistrements de rotation automatisee depuis le KMS	ISO 27001, SOC 2
Inventaire des certificats	Liste complete de tous les certificats avec dates d'expiration	NIS2, DORA
Resultats de tests d'intrusion	Tests de l'efficacite de la mise en oeuvre du chiffrement	ISO 27001, NIS2
Inventaire des algorithmes cryptographiques	Liste de tous les algorithmes utilises avec calendrier de depreciation	DORA, NIS2

Erreurs courantes

Erreur	Risque	Correction
Stocker les cles de chiffrement a cote des données chiffrees	Une violation expose a la fois les données et les cles	Utiliser un KMS externe ou un HSM
Utiliser des algorithmes obsoletes (MD5, SHA-1, DES)	Vulnerabilites connues, constats d'audit	Migrer vers AES-256, SHA-256 au minimum
Ne pas chiffrer les sauvegardes	Le vol de sauvegardes expose toutes les données	Appliquer la meme politique de chiffrement aux sauvegardes
Cles codees en dur dans le code source	Les cles fuient via le contrôle de version	Utiliser la gestion de secrets (Vault, KMS)
Absence de rotation des cles	Fenetre d'exposition prolongee si une cle est compromise	Automatiser la rotation annuelle au minimum
TLS 1.0/1.1 encore active	Non-conformité, vecteurs d'attaque connus	Desactiver et imposer TLS 1.2+
Pas d'inventaire des algorithmes cryptographiques	Impossible de prouver la conformité ou de planifier les migrations	Maintenir et revoir trimestriellement

Comment Orbiq accompagne la conformité en matiere de chiffrement

Orbiq vous aide a demontrer et gerer vos contrôles de chiffrement :

Collecte de preuves — Rassemblez automatiquement les preuves de configuration de chiffrement aupres des fournisseurs cloud
Modeles de politiques — Modeles de politique cryptographique pre-elabores, alignes sur ISO 27001 et SOC 2
Surveillance continue — Suivez les configurations TLS, l'expiration des certificats et l'etat du chiffrement
Trust Center — Partagez votre posture de chiffrement avec les clients et auditeurs via votre Trust Center
Preparation aux audits — Associez les contrôles de chiffrement aux exigences des référentiels avec des correspondances pre-elaborees

Pour aller plus loin

Certification ISO 27001 — Referentiel exigeant des contrôles de chiffrement
Classification des données — Determiner quelles données nécessitent un chiffrement
Contrôle d'accès — Completer le chiffrement par des restrictions d'accès
Réponse aux incidents — Gerer les incidents de compromission de cles
Gestion de la posture de sécurité cloud — Surveiller les configurations de chiffrement cloud
Conformité SOC 2 — Exigences de chiffrement pour SOC 2